Перевожу сервер на 11 версию. По вашему мнению чем лучше натить/редиректить на нескольких интерфейсах, что лучше использовать для файрвола?
нат ядерный, брэндмауэр либо "олдскулстайл" ipfw либо "новомодный" pf. 8)
> нат ядерный, брэндмауэр либо "олдскулстайл" ipfw либо "новомодный" pf. 8)+1, но вот только ipfw не олдскульный, а: Truly FreeBSD way :)
pf тоже очень хороший в FreeBSD, где учет сделан больше на SMP (разнится с версией pf в OpenBSD где новые плюшки появились)
только не ipnat!
я дома решил проапгрейдить шлюз - как показала практика и жидкие обсуждения в интернетах, в 10.* и 11.* его окончательно сломали, даже на мин. нагрузке через небольшое время перестаёт работать.
в дополнение: на выходных закончил ковыряния с 11.1 - от ipnat окончательно отказался, связка pf nat + ipfw тоже не взлетела (может, порядок правил ниасилил, но вроде всё по манам делал).
в итоге всё хорошо работает исключительно на ipfw, включая nat с набором редиректов и несколько fwd.
Перешёл с IPFW на PF начиная с 6 версии FreeBSD.
Железо было слабое и производительность была ключевым критерием.
PF радикально уменьшил нагрузку на ЦП при работе НАТ, как следствие увеличилась итоговая пропускная способность.
Помню дискомфорт при переписывании правил с ipfw на pf, но оно того стоило.
Организация НАТ на PF даже проще.
Пользуюсь по сей день и крайне рекомендую PF.